■URL
http://www.mozilla.org/
http://www.mozilla.org/releases/mozilla1.0/
オープンソースブラウザーMozillaを管轄しているMozilla.orgは10日、正式版「Mozilla 1.0」の一歩手前の調整バージョンである「Release Candidate 2」(最終候補第2版)を発表した。このバージョンでは先に報道されたMozilla0.9.9以上に発見されたセキュリティホールが修正されたほか、複数の重大なバグが修正されている。RC2はMozilla.orgのトップページ「Download Mozilla」からリンクされており、ダウンロード可能だ。
RC2では、15の重大なバグが修正されたほか、他のアプリケーションとの相性でフリーズするという10のバグが修正された。また、CSS2がサポートされ、MacOS 8.5と8.6でも動作するようになった。Mac版で生じていたハングアップ問題も解決されたという。
イスラエルのGreyMagicが報告していたセキュリティーホールは、Mozilla.orgサイト内の最新バージョンで9日時点で修正されていた。修正されたバージョンは「Nightly Build」と呼ばれているもので、毎日のように進展が進むバグの修復結果を含む最新のバージョンであった。今回、Mozillaのセキュリティーホールが結果的に速やかに修正されたのは、Mozillaの信頼を勝ち得るために必要なことだが、一方で9日の時点で一般利用者が修正されたバージョンをMozillaのサイトから見つけてインストールするのに困難を感じるのではないかという部分もあるが、今回セキュリティーホールをふさぐ形でRC2が発表されたことで、インストールにかかる手間は軽減されたともいえる。将来的に、製品版が正式版がリリースされ、より多くの企業にMozillaが利用されることを望むのならば、今後は初心者にもわかりやすいパッチ配布体勢も必要になってくるであろう。
Mozilla.orgでは、今回のセキュリティホール騒動によりMozillaのセキュリティ管理体制が厳しく糾弾されたことを受けて、1日にFrank Hecker氏がMozillaのニュースグループに投稿していた内容を再び正式に注意を喚起した。それによるとMozilla.orgのセキュリティポリシーとして、「もしセキュリティホールが発見された場合指定されたメールアドレスに報告できること」「その情報がMozillaバグデータベースに登録されしばらくの間秘密にされること」「セキュリティホールの報告書はMozillaの開発者とともにその修復作業に当たることができるほか、その分別によって自由に情報を公開する権利を持つこと」を改めて説明した。
また、セキュリティーホール発見者のGreyMagic Software社が、セキュリティホールの発見に対して報奨金を出すという「Bug Bounty Program」の約束に違反していると主張していることに関して、こうしたプログラムは「Mozillaプロジェクトとは独立のものであり、Mozilla.orgはそのようなプログラムを監督することも制御することもなく、運営することもない」とコメントし、Bug Bounty Programはあくまで営利企業Netscape社の問題であるとの立場を明確にした。
◎関連記事
■NetscapeとMozillaにセキュリティーホール発覚
(2002/5/12)
[Reported by taiga@scientist.com]